IEEE 802.1AE (también conocido como MACsec ) es un estándar de seguridad de red que opera en la capa de control de acceso al medio y define la confidencialidad e integridad de los datos sin conexión para los protocolos independientes de acceso al medio. Está estandarizado por el grupo de trabajo IEEE 802.1 . [1]
Detalles
La administración de claves y el establecimiento de asociaciones seguras está fuera del alcance de 802.1AE, pero está especificado por 802.1X-2010 .
El estándar 802.1AE especifica la implementación de una entidad de seguridad MAC (SecY) que se puede considerar como parte de las estaciones conectadas a la misma LAN, proporcionando un servicio MAC seguro al cliente. El estándar define
- Formato de trama MACsec , que es similar a la trama Ethernet , pero incluye campos adicionales:
- Etiqueta de seguridad , que es una extensión de EtherType
- Código de autenticación de mensajes ( ICV )
- Asociaciones de conectividad segura que representan grupos de estaciones conectadas a través de canales seguros unidireccionales
- Asociaciones de seguridad dentro de cada canal seguro. Cada asociación usa su propia clave (SAK). Se permite más de una asociación dentro del canal con el propósito de cambiar la clave sin interrupción del tráfico (el estándar requiere que los dispositivos admitan al menos dos)
- Un conjunto de cifrado predeterminado de GCM-AES-128 (modo Galois / Contador de cifrado estándar de cifrado avanzado con clave de 128 bits)
- GCM-AES-256 con una clave de 256 bits se agregó al estándar 5 años después.
La etiqueta de seguridad dentro de cada marco además de EtherType incluye:
- número de asociación dentro del canal
- número de paquete para proporcionar un vector de inicialización único para algoritmos de cifrado y autenticación, así como protección contra ataques de reproducción
- identificador de canal seguro opcional en toda la LAN (no se requiere en enlaces punto a punto).
El estándar IEEE 802.1AE (MACsec) especifica un conjunto de protocolos para cumplir con los requisitos de seguridad para proteger los datos que atraviesan las LAN Ethernet.
MACsec permite identificar las conexiones LAN no autorizadas y excluirlas de la comunicación dentro de la red. Al igual que IPsec y TLS , MACsec define una infraestructura de seguridad para proporcionar confidencialidad, integridad y autenticación del origen de los datos .
Al asegurar que una trama proviene de la estación que afirmó enviarla, MACSec puede mitigar los ataques a los protocolos de Capa 2.
Historial de publicación:
- 2006 - Publicación original (802.1AE-2006) [2]
- 2011 - La enmienda 802.1AEbn agrega la opción de usar claves de 256 bits al estándar. (802.1AEbn-2011) [2]
- 2013 - La enmienda 802.1AEbw define los conjuntos de cifrado GCM-AES-XPN-128 y GCM-AES-XPN-256 para extender el número de paquete a 64 bits. (802.1AEbw-2013) [3]
- 2017 - La enmienda 802.1AEcg especifica los dispositivos de cifrado de datos Ethernet. (802.1AEcg-2017) [4]
- 2018 - 802.1AE-2018 [5]
Ver también
- Kerberos : uso de tickets para permitir que los nodos que se comunican a través de una red no segura se prueben su identidad entre sí de manera segura.
- Modelo OSI § Capa 2: Capa de enlace de datos
- LAN virtual (VLAN): cualquier dominio de difusión que esté particionado y aislado en una red informática en la capa de enlace de datos
- IEEE 802.11i-2004 (WPA2)
- Acceso protegido Wi-Fi (WPA)
- Privacidad equivalente por cable (WEP)
Referencias
- ^ "802.1AE - Seguridad de control de acceso a medios (MAC)" . Grupo de trabajo IEEE 802.1 . 2015-09-25.
- ^ a b "Informe de estado de las normas IEEE: 802.1AE" . IEEE . Consultado el 25 de abril de 2016 .
- ^ "802.1AEbw - Enmienda de seguridad MAC: Numeración de paquetes extendida" . Grupo de trabajo IEEE 802.1. 2014-07-18.
- ^ "Estándar IEEE para redes de área local y metropolitana - Seguridad de control de acceso a medios (MAC) - Enmienda 3: dispositivos de cifrado de datos Ethernet". IEEE STD 802.1AEcg-2017 (Enmienda a IEEE STD 802.1AE-2006 enmendada por IEEE STD 802.1AEbn-2011 e IEEE STD 802.1AEbw-2013) : 1–143. Mayo de 2017. doi : 10.1109 / ieeestd.2017.7932238 . ISBN 978-1-5044-3725-7.
- ^ Estándar IEEE para redes de área local y metropolitana: seguridad de control de acceso a medios (MAC) . IEEE. Diciembre de 2018. doi : 10.1109 / IEEESTD.2018.8585421 . ISBN 978-1-5044-5215-1.
enlaces externos
- 802.1AE-2018 ( se requiere registro )
- Kit de herramientas MACsec : una implementación de kit de herramientas de código fuente de IEEE 802.1X-2010 (plano de control MACsec) e IEEE802.1AE (plano de datos MACsec)